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Vernetzte Rechner sind permanent 
Bedrohungen ausgesetzt: Im Internet 
finden sich Programme, die quasi auf 
Knopfdruck entfernte Rechner auf 
Schwachstellen untersuchen und sich 
dann oftmals auch gleich in dasSystem 
einloggen. Das kann für Administrato- 
ren unangenehme Folgen haben: Spio- 
nage, Datendiebstahl oder Vernichtung 
der Daten können eine Firma an den 
Rand des Ruins bringen. 

Bei der Suche nach internen Sicher- 
heitslücken kommen im Grunde die 
gleichen Tools zum Einsatz, die auch 
ein echter Eindringling verwenden 
würde. Keinesfalls dürfen dieim Fol- 
genden beschriebenen Methoden auf 
fremde Hosts im Internet angewandt 
werden, da sie als Angriff oder Vorbe- 
reitung eines Angriffs gewertet werden 
und illegal sind. 


PORTSCANNER 

Am Anfang einer Netzwerk-Analyse 
wird, wie auch am Anfang eines realen 
Angriffs, immer bestimmt, welche 


Die kritischen Punkte eines 
Netzwerks stellen die exter- 
nen und die internen Fire- 
walls sowie die Anwen- 
dungs-Server dar. Jede 
Sicherheitsanalyse beginnt 
bei diesen Geräten. 


internal | 
Firewall 


Sichere Firmen- 
Netzwerke 


Viele Administratoren sind sich nicht bewusst, 


welche Angriffsziele ihr Netzwerk Hackern und 


Spionen bietet. Daher sollte jedes Netzwerk 


regelmäßig auf Schwachstellen untersucht wer- 


den. Die richtigen Tools sparen dabei den Gang 


zum Secunity-Dienstleister. 


Rechnerund Geräte überhaupt in einem 
Netzwerk vorhanden sind. Geeignet 
dafür sind Portscanner. Diese analysie- 
ren ein Netzwerk aufvorhandene Geräte 
wie Hosts, Router und Switches und 
ermitteln die laufenden Dienste eines 
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Hosts wie FTP oder HTTP. Meistens fin- 
den sie auch die Anwendungen, die die- 
se Dienste bereitstellen. Admind stellen 
so recht einfach fest, ob fremde Hosts 
oder zusätzliche und verwundbare 
Dienste vorhanden sind. 
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Portscanner wieNmap (www.insecure. 
org) verwenden zuerst Ping-Sweeps, 
um die Anwesenheit von Hosts in einem 
Netzwerk zu bestimmen. Erhält der 
Scanner eine Antwort, wird die betref- 
fende IP-Adresse meist für spätere 
Untersuchungen gespeichert. Nach der 
Feststellung der Anwesenheit werden 
TCP- und UDP-Scans durchgeführt, um 
dielaufenden Dienste zu bestimmen. 
Dabei sind UDP-Scans recht unzuverläs- 
sig, dasienichterkennen lassen, ob ein 
Host beim Ausbleiben einer Antwort 
nicht vorhanden ist oder eine Firewall 
die Pakete verworfen hat. Beim einfa- 
chen TCP-SYN-Scan wird versucht, eine 
vollständige Verbindung zum 
gewünschten Port des Ziel-Hosts aufzu- 
bauen. Gelingt dies, ist damit das Vor- 
handensein des Dienstes bewiesen - 
der Portist offen. Auf einem geschlos- 
senen Portlauscht kein Dienst. Bei 
Dienst-Anfragen sendet ein geschlosse- 
ner Port eine negative Antwort. Dieses 
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Kommt eine Verbindung zustande, sen- 
den die meisten Dienste Informationen 
über sich selbst an das anfragende 
System. So gelangen Name der Server- 
Anwendung, Versionsnummer und wei- 
tere Informationen aufein fremdes 


RFC-konforme Verhalten wird aller- 
dings oft zur Erhöhung der Sicherheit 
geändert, so dass ein geschlossener 
Port keine Antwort sendet. Bei blok- 
kierten Ports wird die Anfrage einfach 
verworfen. Dieses Verhalten deutet auf 
das Vorhandensein einer vorgeschalte- 
ten Firewallhin. 


System. Mit diesen Informationen kann 
ein Angreifer nach Lücken in der einge- 
setzten Server-Software suchen. 


GUTE UND BÖSE SCANS 

Es gibt eine Fülle verschiedener Port- 
Scans, dieversuchen, dem gescannten 
System mit allerlei Tricks Informatio- 
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Gfi LANGuard ist ein komplexer Scanner und eignet sich besonders für Windows-Umgebun- 
gen: Nach einem Scan auf ein entferntes System werden beispielsweise fehlende Patches für 
Windows und den Internet Exptorer bemängelt. 


orw/mmap/ ) at 2003-12-19 14:28 PST 


Nmap scannt unter Win- 
dows und Linux: Verschie- 
dene Frontends erleich- 
tern den Umgang mit dem 
Kommandozeilen-Tool. 


nen zu entlocken, wobei bestimmte 
Eigenschaften desTCP genutzt werden. 
Ein Standard-Scan ist zum Beispiel der 
TCP-Half-open-Scan: Wichtig für einen 
Angreiferist es, unentdeckt zu bleiben, 
daPort-Scans geloggt werden und 
dadurch Hinweise auf eventuell bevor- 
stehende Angriffe geben. So kann sich 
das scannende System etwa über halb 
offene Verbindungen verstecken. Bei 
halb offenen Verbindungen wird ein 
SYN an das Zielsystem gesendet, das 
seinerseits mit einem ACK antwortet. 
Danach muss das anfragende System 
mit einem weiteren ACK den Verbin- 
dungswunsch bestätigen - damitist die 
Verbindung aufgebaut (Drei-Wege- 
Handshake). Bleibt das zweite ACK aus, 
liegt eine halb offene Verbindung vor. 
Da in solchen Fällen keine vollständige 
TCP-Verbindung zustande kommt, 
erfolgt auch kein Eintrag in der Log- 
Datei. Half-open-Scans werden als Vor- 
bereitung eines Angriffs gewertet. Sie 
belästigen das Zielsystem, das fürjede 
Verbindung Arbeitsspeicher bis zum 
Time-out belegt. Die Dokumentationen 
der Scanner enthalten weiterführende 
Erklärungen zu den Scan-Arten, 


OS-FINGERPRINTING 

Gut ausgestattete Scannerversuchen 

mit unterschiedlichen Methoden, den 
Typ des Betriebssystems in Erfahrung 

zu bringen. Für dieses OS-Fingerprin- 
ting wertet der Scanner verschiedene 
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Unter »www.bsi.de/produkte/boss« bietet das BSI die OSS Security 
Suite (BOSS) zum kostenlosen Download an. 


Informationen aus: Offene NetBIOS- 
Ports deuten beispielsweise auf Win- 
dows-Rechnerhin. Auch aus der Art, 
wie die TCP-Sequenznummern gebildet 
werden, lassen sich Rückschlüsse zie- 
hen. TIL-Werte sind ebenfalls typisch 
für Betriebssysteme. Alle diese Infor- 
mationen sind aber nur Hinweise, kei- 
nesfalls erlauben sie das sichere Erken- 
nen eines bestimmten Betriebssystems. 
Administratoren können diese Werte 
nämlich verändern und damit die Scan- 
nertäuschen. Die Ergebnisse der Port- 
Scans lassen sich in Datenbanken spei- 
chern. Durch einen Abgleich mit bereits 
erfolgten Scans lassen sich neue Hosts 
sowie unerwünschte und verwundbare 
Dienste erkennen. 


ERGEBNISSE AUSWERTEN 
Portscanner arbeiten weitgehend auto- 
matisch, die Interpretation der Ergeb- 
nisse obliegt aber dem Administrator. 
Zur Auswertung sollte erregelmäßig 
Webseiten mit Sicherheitshinweisen 
besuchen, zum Beispiel DFN-CERT 
(www.dfn-cert.de), ISC (www.isc.org), 
SANS (www.sars.org) und Microsoft 
(www.microsoft.com/security).Hilf- 
reich istes, sich aufentsprechende 
Mailinglisten setzen zulassen. Eine 
gute Anlaufstelleist zudem die Websei- 
te www.sicher-im-netz.de. Für die Initi- 
ative »Deutschland sicher im Netz« 
engagieren sich beispielsweise Mcert 
Deutsche Gesellschaft für IT-Sicher- 


Security-Scanner wie Nessus arbeiten mit umfangreichen Datenban- 


ken, die täglich aktualisiert werden. 


heit, die Freiwillige Selbstkontrolle 
Multimedia-Diensteanbieter (fsm) und 
der TeleTrusT Verband sowie die Firmen 
Computer Associates, eBay, Microsoft, 
MSN, SAP und T-Online. Gemeinsames 
Ziel: Mit dem IT-Sicherheitspaket 
Mittelstand sollen Unternehmen von 
derNotwendigkeit geeigneter Sicher- 
heitsmaßnahmen überzeugtund 
zugleich bei deren Umsetzung unter- 
stütztwerden. Aufderkostenlosen CD 
finden Sie dazu Sicherheitsrichtlinien, 
Verfahrensanweisungen, Checklisten 
und Notfallpläne sowie einige Tools. 


VULNERABILITY-SCANNER 

Bei der Auswertung ebenfalls sehr hilf- 
reich sind die Vulnerability-Scanner. 
Als Weiterentwicklung der Portscanner 
nutzen Vulnerability-Scanner Daten- 
banken mit bekannten Schwachstellen 
von Server-Software und Betriebssyste- 
men. So können die Programme spezifi- 
sche Warnungen und Hinweise zur 
Schließung der Lücken geben. Sie sind 
beim Aufspüren veralteter Software 
hilfreich und entdecken automatisch, 
ob auf den gescannten Systemen 
bestimmte Patches oder Service-Packs 
installiert sind. Einige Scanner bieten 
auch gleich das Verteilen und Installie- 
ren von Patches und Service-Packs an - 
Administrator-Rechte auf den Zielsys- 
temen sind dabei Voraussetzung. 
Unterschieden werden Netzwerk- und 
Host-basierte Scanner. Letztere erfor- 


dern Administrator-Rechte aufden 
Hosts und liefern mehr Details über 
Schwachstellen - teilweise reparieren 
sie diese sogar. Netzwerk-basierte 
Scanner sind dagegen unabhängig von 
Betriebssystemen. Sieliefern weniger 
Details, sind dafür aber schneller. 
Vulnerability-Scanner listen zwar 
erkannte Schwachstellen auf, können 
aber keine Zusammenhänge zwischen 
diesen erkennen. Mehrere alsharmlos 
eingestufte Sicherheitslücken können 
inihrer Kombination ein folgenschwe- 
res Sicherheitsloch aufreißen. Hierist 
das Wissen des Administrators gefor- 
dert. Zu den weiteren Nachteilen dieser 
Scanner gehört ein erhöhter Netzwerk- 
Verkehr, darelativ viele Informationen 
übertragen werden müssen. Und die 
Datenbank muss ständig aktuell gehal- 
ten werden. Je schneller diese auf den 
aktuellen Stand gebracht wird, desto 
besserist das Produkt. Schwachstellen- 
prüfungen sollten viertel- bis halbjähr- 
lich durchgeführt werden, auf 
besonders exponierten Maschinen mit 
direkter Internet-Anbindung wie Web- 
Server sollten sielaufend erfolgen. 


PASSWORT-CRACKING 

Passwörter - besonders die von Admini- 
stratoren - sind ein beliebter Angriffs- 
punktinNetzwerken und auflokalen 
Maschinen. Die Wahl eines guten Pass- 
worts kann ein Cracken zwar nicht ver- 
hindern, aber erschweren. Gute Pass- 
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wörter sind mindestens acht Zeichen 
lang und bestehen aus kleinen und gro- 
ßen Buchstaben sowie aus Ziffern und 
Sonderzeichen. Über Passwortrichtli- 
nien können zum Beispiel in Windows- 
Domänen Komplexität, Verfallsdatum, 
Zeitfenster, Historie und anderes 
erzwungen werden - ein Angriffspunkt 
bleiben sie aber dennoch. Administra- 
toren nutzen Passwort-Cracker, um die 
Passwörter der Anwender aufSchwä- 
chen hin zu untersuchen - nicht selten 
sind Passwörterin Sekundenschnelle 
geknackt. Die gleichen Tools nutzen 
aber auch Hacker. 

Passwörter können entweder im Seg- 
ment mit einem Sniffer gelesen oder 
durch lokalen Zugang zu einer Maschi- 
nein Erfahrung gebracht werden, 
wobei aberin der Regel Administrator- 
Rechte nötig sind. Das Sniffen im Netz- 
werk funktioniertnurinnerhalb eines 
Segmentes oder durch Cache-Poiso- 
ning. Für das Auslesen zum Beispiel aus 
einerWindows-Installation spielt man 
üblicherweise ein zweites Betriebssys- 
tem aufwie Linux und bearbeitet die 
Registrierung. Ein bekanntes Pro- 
gramm ist LOphtcrack. Solche Pass- 
wort-Cracker arbeiten mit (modifizier- 
ten) Wörterbuch-Attacken, dielange 
Wörterlisten benutzen und mit dem 
bekannten, aber verschlüsselten Pass- 
wort vergleichen, genauer gesagt, wer- 
den Hashes verglichen. Jedes Passwort, 
dasin einem Wörterbuch vorkommt, ist 
deswegen ein schwaches Passwort. 


Modifizierte Wörterbuch-Attacken 
ändern Wörterdurch Austausch von 
Buchstaben durch Ziffern oder durch 
Zufügen von ZIffern und Ähnlichem. 
Wird das Passwort damit nicht gefun- 
den, wird eine Brute-Force-Attacke 
gestartet, die immer zum Ziel führt - 
genügend Zeitund Rechenleistung vor- 
ausgesetzt. Ein beliebtes Angriffsziel 
ist auch die Rettungsdiskette von Win- 
dows, die das Passwort enthält. Pass- 
wort-Cracking ist eine Routineaufgabe 
bei Penetration-Tests. 


PENETRATION-TESTING 

Die Sicherheit von Netzwerken kann 
mit Penetration-Tests geprüft werden. 
Dabei versucht man, unter Umgehung 
der bestehenden Sicherheitsmaßnah- 
men Zugriff auf die Ziel-Systemezu 
erlangen. Solche Tests könneninner- 
halb eines Netzwerks oder von außer- 
halb durchgeführt werden. Zum Einsatz 
kommen dabeiToolsund Techniken, die 
auch echte Angreifer verwenden. Bevor 
solche simulierten Angriffe durchge- 
führt werden, ist eine Absprache mit 
dem Management und den Administra- 
toren notwendig. Dazu gehört minde- 
stens, welche Systeme mit welchen Mit- 
teln wann untersucht werden. Neben 
der zusätzlichen Belastung des Netz- 
werks besteht bei solchen Tests auch 
die Möglichkeit der Beschädigung der 
Ziel-Hosts. Ein externer Angriffauf 
einen bekannten IP-Bereich beginnt 
mit Scannern. Weitere Informationen 


liefern DNS- und Whois-Abfragen sowie 
möglicherweise die Web- und LDAP- 
Server einer Firma. Bei der Beschaffung 
von Informationen sind echte Angreifer 
sehr erfindungsreich: So sind angebli- 
che Mails der IT-Administration, die zur 
Herausgabe eines Passworts auffor- 
dern, genauso üblich wie telefonische 
Anfragen bei Mitarbeitern (Social Engi- 
neering). Auch durch Spyware-Kompo- 
nenten können weitere Informationen 
beschafft werden. 

Da externe Angreifer in der Regel durch 
Firewalls hindurch müssen, kommen 
als Transport-Möglichkeit nur die 
erlaubten Protokolle, meistens FTP, 
HTTP, SMTP und POP3, in Frage. Haben 
die Tester Zugriffauf einen internen 
Host erlangt, wird versucht, von dort 
aus weitere Hosts zu kompromittieren, 
dievon außen nicht sichtbar sind. Bei 
Angriffen von innen gibt es weitere 
Möglichkeiten der Informationsbe- 
schaffung: Sniffing und NetBIOS-Scans 
liefern mitunter detaillierte Daten über 
Netzwerke und Hosts, manchmal sogar 
Passwörter. Sind alle Ziel-Hosts 
bekannt und ihre Schwachstellen mit 
Scannern entdeckt, erfolgen die 
eigentlichen Angriffe. Viele Attacken 
sind im Internet dokumentiert und 
Bestandteil der Scanner-Datenbanken. 
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Beispiel für einen Bericht des Online-Scanners von 
Qualys: Neben Erklärungen zu den gefundenen 
Sicherheitslücken gibt es Tipps und Anleitungen. 
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werden, besteht die Möglichkeit, diese 
im Büro anzuschließen und damit 
einen nicht gesicherten Zugang zum 
Netzwerk zu schaffen. Modems können 
mit Wardialern entdeckt werden, die 
eine Liste mit Telefonnummern abtele- 
fonieren. Inmanchen Firmen kommt 
auch ein zweites, unsicheres Netzwerk 
zum Einsatz, das häufig für Testzwecke 
verwendet wird. Durch Einbau einer 
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Bei Brute-Force-Attacken wird versucht, durch simples Ausprobieren verschiedener Pass- 
wortmöglichkeiten aus einem Wörterbuch Zugang zum System zu erlangen. 


Solche Lücken lassen sich meist schnell 
durch Einspielen von Patches schlie- 
ßen. Andere Angriffe sind neu, manche 
sogar äußerst kreativ - Entdeckung 
und Rückverfolgung können dann 
schwierig und zeitintensiv sein. 

Die meisten Schwachstellen beruhen 
auf Lücken im Kernel sowie den Server- 
Programmen. Gelingtes, den Kernelzu 
kompromittieren, kann das System 
meistens beliebig manipuliert werden. 
Architekturen wieWindows (aberteil- 
weise auch Unix/Linux) lassen sich mit 
etwas Geschick völlig zum Zusammen- 
bruch bringen, da sie per Design nicht 
auf Sicherheit getrimmt sind. Jedes 
laufende Programm, das durch Spyware 
oder Trojanische Pferde eingeschleppt 
wurde, kann jedes Windows-System 
vollständig aushebeln und die Kontrol- 
le einem Angreifer übertragen. 
Penetration-Tests beweisen die Exi- 
stenzvon Sicherheitslücken. Am Ende 
steht ein Bericht der gefundenen 
Schwachstellen, der eine Risikoab- 
schätzung ermöglicht sowie Hinweise 
auf die Beseitigung der Schwachstellen 
enthält. Konsequenzen von Penetra- 
tion-Tests können eine Anpassung der 
Sicherheitsrichtlinien des Unterneh- 
mens sein oder ebenso die Erkenntnis, 
dass Systeme falsch konfiguriert sind 
und Software Sicherheitslücken auf- 
weist beziehungsweise verfügbare Pat- 
ches nicht eingespielt wurden. Auch 
größere Änderungen in der Sicher- 


heitsarchitektur können die Folge von 
Penetration-Tests sein: etwa das Einzie- 
hen einer weiteren Sicherheitsebene 
durch den Einsatz zusätzlicher Fire- 
walls, ein zentrales Patch-Management 
oder auch einheitliche Arbeitsplatz- 
Umgebungen durch Cloning. 


LOG-FILE-ANALYSE 

Firewall- und IDS-Logs, Server-Logs 
sowie jede Art von Log-Dateien können 
Aufschluss über ein auffälliges Verhal- 
ten eines Systems geben und zwar 
durch Vergleich über einen längeren 
Zeitraum oder auch durch Anzeige des 
aktuellen Zustands. Unter Windows 
Server können etwa Zugriffe auf das 
Dateisystem aufgezeichnet und nicht 
autorisierte Zugriffe auf bestimmte 
Verzeichnisse gemeldet werden. IDS- 
Logs wie von Snort (www. snort. org) 
führen Protokollanalysen durch und 
erkennen Angriffsmuster wie Port- 
Scans, Buffer-Overflow- und SMB- 
Attacken oder Fingerprinting-Versu- 
che. Filterund Sortierfunktionen 
erleichtern das Finden der gesuchten 
Informationen. Log-File-Analysen soll- 
tenregelmäßig durchgeführt werden, 
wichtige Server sowie Firewalls sollten 
täglich überprüft werden. 


ANDERE SCHWACHSTELLEN 

Weitere Sicherheitslücken entstehen 
durch Modems und Funknetze. Auch 
wenn Modems kaum noch verwendet 


zweiten Netzwerkkarte in einen Client 
kann dieser zum Router werden, 
wodurch die Sicherheit des Firmen- 
netzwerks umgangen wird. 

Funknetze lassen sich gut mit Scannern 
erkennen, die bereitsim Lieferumfang 
der Funkkarte enthalten sind. Tools wie 
etwa Airsnort (airsnort.shmoo.com) 
oderWEPCrack (www.sourceforge.net/ 
projects/wepcrack) zeigen, wie schnell 
sich WEP-Keys knacken lassen. Access- 
Points sollten daher möglichst mit WAP 
und nicht mit WEP gesichert werden. 
Manchmal werden bei einem Einbruch 
Dateien wie das host-File geändert. Sol- 
che Manipulationen lassen sich mit 
File-Integrity-Checkern wie der Chan- 
ge-Auditing-Software Tripwire 
(www.tripwire.com) erkennen. Das 
Sicherheits-Toollegt eine Datenbank 
des Filesystems an, um Veränderungen 
und Manipulationen an Verzeichnissen 
und Dateien feststellen zu können. Es 
ist aufLinux-Basis als Open-Source- 
Software verfügbar, aber auch als kom- 
merzielle Variante für Windows. 


ONLINE-SCANNER 

Wer sich nicht selbst mit Tools im Netz- 
werk beschäftigen möchte, kann die 
Dienste eines Online-Scannersin 
Anspruch nehmen. Es gibt eine ganze 
Reihe an Angeboten, zum Beispiel von 
Qualys (www. qualys.com) oder Securi- 
tyspace (www. securityspace.com), die 
aber kostenpflichtig, meist in Form von 
Abonnements, vertrieben werden. Im 
Repertoire sind meistens Tausende von 
Sicherheitstests für verschiedene 
Umgebungen, die online über das Inter- 
net durchgeführt werden. Die abschlie- 
Benden Reports sind sehr detailliert 
und geben Hinweise, wie gefundene 
Lücken zu schließen sind. E 


